Microsoft ha revelado una vulnerabilidad de gravedad alta que afecta a Office y que podría exponer los hashes NTLM a un atacante remoto.

Identificada como CVE-2024-38200, esta falla de seguridad está causada por una debilidad de divulgación de información que permite a actores no autorizados acceder a información protegida. Afecta a varias versiones de Office de 32 y 64 bits, incluidas Office 2016, Office 2019, Office LTSC 2021 y Microsoft 365 Apps for Enterprise.

Aunque la evaluación de explotabilidad de Microsoft dice que la explotación de CVE-2024-38200 es poco probable, MITRE ha etiquetado la probabilidad de explotación de este tipo de debilidad como altamente probable.

"En un escenario de ataque basado en la web, un atacante podría alojar un sitio web (o aprovechar un sitio web comprometido que acepte o aloje contenido proporcionado por el usuario) que contenga un archivo especialmente diseñado para explotar la vulnerabilidad", explica el aviso de Microsoft.

La empresa está desarrollando actualizaciones de seguridad para solucionar este error, pero aún no ha anunciado una fecha de lanzamiento. Desde la publicación de este artículo, Microsoft compartió más información sobre la falla CVE-2024-38200 en el aviso, indicando que lanzaron una solución a través de Feature Flighting el pasado 30 de julio.

"Los clientes ya están protegidos en todas las versiones de Microsoft Office y Microsoft 365 que reciben soporte. Los clientes aún deben actualizar a las actualizaciones del 13 de agosto de 2024 para obtener la versión final de la solución".

El aviso también indica que esta falla se puede mitigar bloqueando el tráfico NTLM saliente a servidores remotos. Microsoft dice que puede bloquear el tráfico NTLM saliente utilizando los siguientes tres métodos:

• Configurar la política de grupo Seguridad de red > Restringir NTLM > Tráfico NTLM saliente a servidores remotos para permitir, bloquear o auditar el tráfico NTLM saliente desde un equipo que ejecuta Windows 7, Windows Server 2008 o posterior a cualquier servidor remoto que ejecute el sistema operativo Windows. En este caso, querrá utilizar la política para bloquear el tráfico NTLM.
• Agregar usuarios al grupo de seguridad Usuarios protegidos, que restringe el uso de NTLM como mecanismo de autenticación
• Bloquear todo el tráfico saliente al puerto TCP 445.

Microsoft señala que utilizar cualquiera de estas mitigaciones podría impedir el acceso legítimo a servidores remotos que dependen de la autenticación NTLM.

Si bien Microsoft no compartió más detalles sobre la vulnerabilidad, esta guía indica que la falla se puede usar para forzar una conexión NTLM saliente, como a un recurso compartido SMB en el servidor de un atacante. Cuando esto sucede, Windows envía los hashes NTLM del usuario, incluida su contraseña hasheada, que el atacante puede robar.

Como se demostró repetidamente en el pasado, estos hashes se pueden descifrar, lo que permite a los actores de amenazas obtener acceso a los nombres de inicio de sesión y las contraseñas de texto sin formato.

Los hashes NTLM también se pueden usar en ataques de retransmisión NTLM, como se vio anteriormente con los ataques ShadowCoerce, DFSCoerce, PetitPotam y RemotePotato0, para obtener acceso a otros recursos en una red.

Se compartirán más detalles en Defcon

Microsoft atribuyó el descubrimiento de las fallas al consultor de seguridad de PrivSec Consulting Jim Rush y al miembro del equipo Synack Red Team Metin Yunus Kandemir.

El director ejecutivo de PrivSec, Peter Jakowetz, le dijo a BleepingComputer que Rush revelará más información sobre esta vulnerabilidad en su próxima charla "NTLM - The last ride" en Defcon [PDF]

"Habrá un análisis profundo de varios errores nuevos que revelamos a Microsoft (incluido eludir una corrección a un CVE existente), algunas técnicas interesantes y útiles, combinando técnicas de múltiples clases de errores que resultaron en algunos descubrimientos inesperados y algunos errores absolutamente cocinados", explica Rush. "También descubriremos algunos valores predeterminados que simplemente no deberían existir en bibliotecas o aplicaciones sensibles, así como algunas brechas evidentes en algunos de los controles de seguridad relacionados con NTLM de Microsoft".

Microsoft también está trabajando en parchear fallas Zero-Days que podrían explotarse para "un-patch" sistemas Windows actualizados y reintroducir vulnerabilidades antiguas.

La compañía también dijo a principios de esta semana que está considerando parchear un control de aplicaciones inteligentes de Windows, una vulnerabilidad que se omite en SmartScreen y que ha sido explotada desde 2018.

Fuente: BC